A cura di Paolo Arcagni, Systems Engineer Manager di F5 Networks
Il mondo digitale odierno e in costante evoluzione ha aperto le porte a un livello di attacchi informatici dannosi e senza precedenti, che mettono a rischio applicazioni, dati, infrastrutture operative e la reputazione stessa dell’azienda.
La disponibilità di tool automatici e “tempo hacker” da affittare a ore ha portato il crimine informatico a una rapida evoluzione verso attività di lucro. I dati raccolti e analizzati dagli F5 Labs su 429 violazioni avvenute nel periodo che va dal 2005 al 2017 mostrano come queste abbiano permesso agli hacker di guadagnare sul mercato nero circa 2,75 miliardi di dollari. La conseguenza, oggi, è che molti CISO e dirigenti aziendali rischiano di subire una sconfitta per abbandono davanti alle gravi violazioni dei dati, se non sono in grado di trovare velocemente soluzioni attraverso un continuo adattamento alle mosse dell'avversario, come avviene in una gara di scherma.
Le strategie di attacco
Le nuove app cloud-based comportano una serie di sfide complesse e introducono nuovi rischi. In questo ambiente frenetico, ricco di incertezze e ancora in fase di sviluppo, gli hacker trovano un terreno ideale.
Nella scherma si sfrutta la tecnica del "disimpegno", ovvero quella mossa che consiste nell’ingannare l'avversario portandolo ad attaccare un bersaglio specifico mentre nel frattempo si effettua un movimento a semicerchio per colpire un'area diversa. L'hacker di oggi si comporta proprio così, usa l’inganno e sfrutta le sette armi più comuni di un attacco informatico per ottenere il miglior effetto e il maggior profitto: bot dannose, credential stuffing, DDoS, ransomware, frodi web, phishing e malware.
Cosa hanno in comune gli attacchi informatici? Sono tutti spesso associati a bot maligne utilizzate come meccanismo di delivery o come strumento di exploit. Secondo l’ultimo Data Breach Investigations Report di Verizon, il 77% delle violazioni delle applicazioni web sfruttano le botnet per veicolare gli attacchi.
Nel caso delle frodi web, gli attacchi fanno spesso uso di tecniche di injection “Man-in-the-Browser” che veicolano un Trickbot tramite phishing, drive-by-download o porte SMB. Il codice Java-script viene quindi iniettato mentre l’utente naviga sulle sue pagine di e-commerce o sul sito di home banking, permettendo ai malintenzionati di accedere alle credenziali e rubare nei conti bancari.
Anche le truffe di phishing sono in aumento; gli hacker sfruttano metodi per lo più nuovi per indurre le persone a cliccare su un collegamento che può infettare il loro sistema con dei malware o portarli verso a un sito fake progettato per rubare le informazioni personali. Nel primo trimestre del 2017, ogni 4,2 secondi è emersa una nuova tipologia di phishing e malware.
Gli attacchi di credential stuffing sono un'altra preoccupazione crescente. In questo caso, i cybercriminali si rivolgono al dark web per acquistare nomi utente e password precedentemente rubati. Eseguono quindi tentativi ripetuti con strumenti automatici inserendo queste credenziali nei campi di accesso di altri siti web e ottenendo così l’accesso agli account degli utenti aziendali o dei clienti. Se gli utenti riutilizzano spesso le proprie password, allora è molto probabile che in qualche modo queste credenziali siano già state rubate.
Nell’elenco delle armi utilizzate non possiamo dimenticare i DDoS, diventati sempre più difficili da affrontare. Gli attacchi oggi spaziano da attività puramente dimostrative ad atti mirati di ritorsione, protesta, furto ed estorsione. Gli hacker spesso utilizzano strumenti DDoS già pronti per interrompere la disponibilità del servizio e le prestazioni aziendali. Esistono quattro topologie di attacco: volumetrico (attacchi flood-based), asimmetrico (una sorta di timeout), computazionale (con il consumo di memoria e CPU) e basati sulle vulnerabilità (software applicativo di exploit). Gli attacchi DDoS più dannosi sono quelli che combinano gli attacchi volumetrici con gli attacchi mirati e specifici rivolti contro l'applicazione.
Le strategie di difesa
Gli esperti di sicurezza ritengono che un firewall per applicazioni Web (WAF) affidabile rappresenti un elemento indispensabile nella protezione dagli attacchi credential stuffing.
Il WAF equivale alla “parata e risposta” nella scherma, quando un’abile strategia di difesa si trasforma in una mossa di attacco. Un WAF moderno e ricco di funzionalità, infatti, consente alle aziende di concepire le mosse offensive giuste con l’identificazione e la prevenzione delle bot avanzate. Questo è un aspetto fondamentale, dato che la maggior parte degli attacchi viene lanciata utilizzando programmi automatici. Analizzando i comportamenti, come la posizione geografica dell’IP, l'ora del giorno e la quantità di tentativi di connessione al secondo, un WAF può aiutare il team di sicurezza a identificare i tentativi di login che non avvengono tramite browser tradizionale, identificando quindi un bot.
È altrettanto importante garantire che i dati nel browser o nelle applicazioni mobile siano cifrati, in modo da proteggere tutte le informazioni trasferite dagli utenti e rendere allo stesso tempo inutili i dati intercettati. Come ulteriore livello di sicurezza, è possibile impostare i parametri del modulo in modo che vengano cifrati utilizzando una funzione lato client. Gli strumenti automatici di credential stuffing incontreranno notevoli difficoltà nell’eseguire in modo corretto la pagina, cifrando i campi del modulo e inviando i cookie del canale sicuro in modo corretto. Quando le bot inviano credenziali non cifrate, viene inviato un avviso di sistema per informare il team di sicurezza che è in atto un attacco credential stuffing.
Un punto fondamentale rimane comunque quello di adottare criteri che rendano più semplice per gli utenti modificare in modo regolare le password per evitare l'utilizzo ripetuto su più siti e segnalare immediatamente un incidente all'IT quando si accorgono, ad esempio, di avere cliccato un link in una email di phishing.
La mossa vincente
Nel grande scontro contro il crimine informatico, il segreto per vincere la partita è l'intelligence delle minacce. Maggiore visibilità, comprensione del contesto e gestione del controllo sono elementi fondamentali per proteggere le infrastrutture, le applicazioni e i dati sensibili.
Sarà sempre più necessario adattare la propria strategia per fortificare le applicazioni con strumenti di sicurezza all'avanguardia e spostare le risorse per rispondere con una rapida stoccata alle mosse malevole degli attaccanti, garantendo l’operatività aziendale in modo agile, veloce e sicuro, senza mai abbassare la guardia!
